Я настроил свой веб-сервер на использование SSL (я использую WAMP для своего промежуточного сценария, прежде чем перенести его на публичные серверы). Цель сайта достигнута, и я могу использовать сайт с удаленных компьютеров, используя протокол HTTPS.
Проблема, которая возникла у одного из моих пользователей (тестировщиков), касалась данных POST. В своем тестовом сценарии он находится на сайте одного из наших потенциальных клиентов, получая доступ к сайту за их ОЧЕНЬ придирчивым корпоративным брандмауэром (мы уже выяснили, как этот сайт относится к их AUP, и мы чисты). Он запускает сайт в FireFox, используя Firebug для мониторинга данных POST и GET. Вопрос здесь:
В его окне Firebug POST и Response от XMLHTTPRequest возвращаются в виде обычного текста. Это потому, что он был тем, кто инициировал защищенное соединение? Будут ли данные POST/Response отображаться администраторам сети или в журналах?
Обратите внимание, что целью здесь не является обман администраторов или обход политик; это приложение предназначено для людей на местах в различных местах, которым необходимо передавать конфиденциальные данные. Использование будет координироваться с каждой сетевой инфраструктурой, с которой мы столкнемся.
решение1
Да, данные POST должны быть зашифрованы. Все в HTTP-запросе должно быть зашифровано в SSL-разговоре. Firebug получает информацию после того, как данные SSL были расшифрованы браузером. Если вы хотите быть уверены, используйте что-то вродеСкрипачилиВеб-Скарабейкак прокси, сидящий между ними, хотя вам, возможно, придется поиграть в игры, чтобы заставить их нормально работать с SSL. Вот страница о том, какрасшифровать HTTPS-трафикс помощью Fiddler.